Gemeinsam mit der Newtelligence AG hat Microsoft neue Leitfäden und Werkzeuge zur Verbesserung der Sicherheit in mit Dotnet-Applikationen herausgegeben.
Beide Unternehmen haben zuvor Kernszenarien beim Entwickeln von neuen Anwendungen ausgemacht, und daraus Vorlagen und Assistenten für neue Dotnet-Projekte "gestrickt". Diese Vorschläge samt Quellcode der Projektvorlagen stellt Microsoft in seinem Developer Network MSDN bereit. Auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) spricht sich für das Projekt aus. Die Ergebnisse sind auf der MSDN-Websit zugänglich.
Die Leitfäden, Werkzeuge, Tipps, Vorschläge und Projektvorlagen für Dotnet-Entwickler basieren vor allem auf Code Access Security (CAS), dem Sicherheitssystem der Laufzeitumgebung von Dotnet. Dieses ergänzt die Sicherheitsmechanismen von Windows-Systemen, indem Anwendungen anhand von Richtlinien nur mit eingeschränkten Rechten ausführbar sind. Dadurch reduziert sich die Angriffsfläche dieser Applikationen im Entwicklungsstadium.
Beim Identifizieren und Ausarbeiten der Hilfen für Dotnet-Entwickler stand Newtelligence Microsoft beratend zur Seite - sowohl in den USA als auch in Deutschland. Die daraus hervorgegangen Empfehlung hat das BSI gut geheißen. "Wir begrüßen das Engagement von Microsoft und Newtelligence. Die intensive und offen geführte Diskussion mit beiden Unternehmen brachte Beiträge hervor, die signifikant die Sicherheit von Dotnet-Anwendungen steigern konnten", kommentiert Daniel Loevenich, Sicherheitsexperte beim BSI, die Zusammenarbeit mit den beiden Unternehmen.
Michael Willers, Leiter des Projektes bei Newtelligence kommentiert diese Vorgehensweise folgender Maßen: "Der Einfachheit halber geben viele Entwickler den Nutzern alle Rechte oder schreiben Ihre Anwendungen so, dass diese alle Rechte benötigen. Dies ist jedoch aus sicherheitstechnischer Sicht äußerst kritisch".
Denn der Rollout der neu entwickelten Anwendungen ist oft ein sehr komplexer Prozess und erfordert viele Vorarbeiten. Aus diesem Grund umgehen viele Entwickler die grundlegenden Sicherheitsrichtlinien, so Microsoft, Newtelligence und BSI übereinstimmend. Und aus diesem Grund wollen sie es den Entwicklern erleichtern, sichere Anwendungen zu erstellen. Das ganze solle künftig ohne lange Einarbeitungszeit geschehen, detaillierte Vorkenntnisse würden nicht mehr benötigt.
Die von Microsoft, Newtelligence und BIS herausgearbeiteten Vorschlägen zur Vorgensweise beim Entwickeln von neuen Dotnet-Applikationen sind für Windows Vista, Windows XP und Windows Server 2003 verfügbar. (rw)